簡介
本手冊涵蓋 Mavis 的安裝及安裝要求,同時提供安裝指南。請務必在安裝前仔細閱讀本手冊入門指南:
關於 Mavis
Mavis 是新一代混合雲 IT 運營合規審核工具,將合規審核、特權訪問管理(PAM)和混合雲/本地環境整合功能結合於一個平台中,客戶可以在快速部署的情況下啟用集中控制工具組,並根據用戶權限使用內置的零信任企業安全控制、全面的操作日誌/錄製功能。
入門指南
A. 系統需求
在進行 Mavis 軟體安裝前,請確認可用儲存空間是否足夠,建議您同步考量安裝過程中可能涉及的額外元件、資源以及未來的擴展需求,以確保您的系統能夠順利完成 Mavis 的安裝流程,而不會因硬碟空間不足而導致意外問題的發生。
安裝 Mavis 伺服器所需的最低系統要求。如果伺服器不符合這些要求,則無法安裝 Mavis。如果您不確定伺服器是否符合這些要求,請運行 Mavis 安裝腳本進行兼容性評估。
B. HA 架構介紹
在安裝 Mavis 前,您需要決定是選擇單台架構還是高可用性(HA)架構。以下是這兩種架構的簡要說明:
- 單台架構:單台架構適合較小規模的部署,所有 Mavis 功能均在單一伺服器上運行。這種架構的優點是安裝和管理簡單,適合資源有限或需求較低的環境。然而,單台架構的容錯能力較低,如果伺服器發生故障,所有服務將會中斷。
- 高可用性(High Availability, HA)架構:
-
高可用性架構設計用於確保系統在任何單點故障時仍能正常運行。這種架構通常包括多台伺服器,通過負載均衡和冗餘來確保系統的高可用性和可靠性。HA 架構適合對業務連續性要求高的企業,能夠有效減少停機時間。這些伺服器共同工作,自動分擔負載並相互備份,確保即使一台伺服器出現問題,系統仍能提供服務。HA 架構的主要特點包括:
- 負載均衡:多台伺服器共同分擔工作負載,提升系統性能和穩定性。
- 故障切換:當一台伺服器發生故障時,其他伺服器可以自動接管其工作,確保服務不間斷。
- 冗餘備份:數據和應用在多台伺服器間進行備份,防止數據丟失和服務中斷。
-
選擇 HA 架構可以大大提升系統的可靠性和可用性,適合需要全天候運行和業務連續性的企業。
-
高可用性架構設計用於確保系統在任何單點故障時仍能正常運行。這種架構通常包括多台伺服器,通過負載均衡和冗餘來確保系統的高可用性和可靠性。HA 架構適合對業務連續性要求高的企業,能夠有效減少停機時間。這些伺服器共同工作,自動分擔負載並相互備份,確保即使一台伺服器出現問題,系統仍能提供服務。HA 架構的主要特點包括:
C. 安裝架構選擇
在決定安裝架構時,請根據您的企業需求、預算和 IT 資源進行選擇。若您的企業需要高可靠性和最小的停機時間,建議選擇 HA 架構。如果您的需求較低且資源有限,單台架構則是一個經濟實惠的選擇。
完成上述準備工作後,請按照手冊中的詳細安裝步驟進行 Mavis 的安裝。若有任何疑問,請隨時聯繫我們的技術支持團隊。
-------------------------------------------------------------------------------------
單台架構
一、系統要求
1. 硬體要求
操作系統 |
Mavis 目前支援安裝的操作系統,請參見: https://mavis.pentium.network/hc/articles/22951360081556 |
CPU | 4 Core 以上 |
記憶體 | 16 GB 以上 |
硬碟 | 40 GB 以上 |
2. 軟體要求
系統管理 | SystemD |
3. 帳戶要求
root 特權 | 帳號需要有 sudo 權限 |
4. 安全要求
SSL 憑證 | 必需 |
5. 安全設定
為了服務器安全,我們強烈建議您設置如下防火牆策略:
Inbound Rules 允許連接埠
來源 | 目的 | 端口 | 規則 | 說明 |
0.0.0.0/0 | Mavis Server | 443 | 允許 | 用於 HTTPS 連線的連接埠。(如果您沒有設置 SSL,將出現不安全的憑證問題)。 |
0.0.0.0/0 | Mavis Server | 7993 | 允許 | 用於 PostgreSQL 連線埠。(用於 PostgreSQL Proxy 連線的連線埠,我們建議僅允許信任的 IP 進行訪問)。 |
Outbound Rules
來源 | 目的 | 端口 | 規則 | 說明 |
Mavis Server | 0.0.0.0/0 (Internet) | ALL | 允許 | 允許 Mavis 平台可以存取 Internet 並下載安裝所需元件 |
二、Mavis 單台架構安裝
1. 安裝前
根據 Mavis 的安全要求,請準備好有效的憑證檔案進行安裝,並確保 DNS 服務已經配置了與服務器 IP 位址相關的域名。
如果目標伺服器沒有 SSL 憑證,某些功能將無法使用。(請確保在安裝 SSL 憑證時包括中繼憑證以確保正確的運作。)
步驟 1. 上傳 SSL 憑證檔案(包括憑證本身、CA bundle(也稱中繼憑證),通常以 .crt 和 .key 檔案形式)。
步驟 2. 將 .crt 和 .key 檔案重新命名為 tls.crt 和 tls.key。
mv <您的證書文件名>.cer tls.crt mv <您的密鑰文件名>.key tls.key |
tls.crt 範例:包括憑證本身 + CA bundle (也稱中繼憑證)
2. 安裝 Mavis 單台架構
步驟 1. 下載腳本並安裝 Mavis
( 請將 URL 內的 "your_fqdn_name" 替換為您實際的網域名稱 )
curl -sSL https://releases.pentium.network/mavis/1.15.1/install.sh | MAVIS_URL="your_fqdn_name" bash |
步驟 2. 確認您的 FQDN name 是否正確,確認後請輸入 y 後繼續安裝
步驟 3. 等待自動化安裝完成
步驟 4. 安裝完成後,將顯示連接 URL 和預設登錄帳號和密碼
-------------------------------------------------------------------------------------
HA 架構
一、系統要求
1. 硬體要求
伺服器 | 用途 | CPU | 記憶體 | 硬碟 | 操作系統 |
Master node | Master Worker DNS A Record |
4 | 16 | 40 | Mavis 目前支援安裝的操作系統,請參見: https://mavis.pentium.network/hc/articles/22951360081556 |
Second node | Master Worker |
4 | 16 | 40 | Mavis 目前支援安裝的操作系統,請參見: https://mavis.pentium.network/hc/articles/22951360081556 |
Third node | Master Worker |
4 | 16 | 40 | Mavis 目前支援安裝的操作系統,請參見: https://mavis.pentium.network/hc/articles/22951360081556 |
2. 軟體要求
系統管理 | SystemD |
3. 帳戶要求
root 特權 | 帳號需要有 sudo 權限 |
登入帳號、密碼 | 3台機器登入的帳號、密碼需要一致 |
4. 安全要求
SSL 憑證 | 必需 |
5. 內網要求
子網域 | 3台機器需要在相同子網域下 |
防火牆 | 3台機器彼此防火牆全開 |
6. 安全設定
為了服務器安全,我們強烈建議您設置如下防火牆策略:
Inbound Rules 允許連接埠
來源 | 目的 | 端口 | 規則 | 說明 |
0.0.0.0/0 | Master node | 443 | 允許 | 用於 HTTPS 連線的連接埠。(如果您沒有設置 SSL,將出現不安全的憑證問題)。 |
0.0.0.0/0 | Master node | 7993 | 允許 | 用於 PostgreSQL 連線埠。(用於 PostgreSQL Proxy 連線的連線埠,我們建議僅允許信任的 IP 進行訪問)。 |
Outbound Rules
來源 | 目的 | 端口 | 規則 | 說明 |
Master node Second node Third node |
0.0.0.0/0 (Internet) | ALL | 允許 | 允許 Mavis 平台可以存取 Internet 並下載安裝所需元件 |
二、Mavis HA 架構安裝
1. 安裝前
根據 Mavis 的安全要求,請準備好有效的憑證檔案進行安裝,並確保 DNS 服務已經配置了與 Master node 服務器 IP 位址相關的域名。
如果目標伺服器沒有 SSL 憑證,某些功能將無法使用。(請確保在安裝 SSL 憑證時包括中繼憑證以確保正確的運作。)
步驟 1. 上傳 SSL 憑證檔案(包括憑證本身、CA bundle(也稱中繼憑證),通常以 .crt 和 .key 檔案形式)。
步驟 2. 將 .crt 和 .key 檔案重新命名為 tls.crt 和 tls.key。
mv <您的證書文件名>.cer tls.crt mv <您的密鑰文件名>.key tls.key |
tls.crt 範例:包括憑證本身 + CA bundle (也稱中繼憑證)
2. 安裝 Mavis HA 架構
步驟 1. 下載腳本並安裝 Mavis
( 請將 URL 內的 "your_fqdn_name" 替換為您實際的網域名稱 )
curl -sSL https://releases.pentium.network/mavis/1.15.1/install.sh | MAVIS_CLUSTER=true MAVIS_URL="your_fqdn_name" bash |
步驟 2. 確認您的 FQDN name 是否正確,確認後請輸入 y 後繼續安裝
步驟 3. 依序輸入 Master/Second/Third 三台 node 的內網 IP 及登入帳號、密碼
步驟 4. 等待自動化安裝完成後,將顯示連接 URL 和預設登錄帳號和密碼
-------------------------------------------------------------------------------------
D. 安裝完,登入 Mavis 平台
步驟 1. 瀏覽器連接 URL 後,使用預設帳號和密碼 (admin) 登錄 Mavis
步驟 2. 輸入 Mavis License (請與聯繫窗口索取)
步驟 3. 成功輸入 License 後,即可開始使用 Mavis,相關操作文件請參考:操作手冊
E. 安全設置
為了伺服器的安全性,我們強烈建議您按照以下方式設定防火牆策略。
允許連接埠
連接埠 Port |
描述 |
22 |
用於 SSH 連線的連接埠,我們建議僅允許信任的 IP 進行訪問。 |
443 |
用於 HTTPS 連線的連接埠。(如果您沒有設置 SSL,將出現不安全的憑證問題)。 |
7993 |
用於 PostgreSQL 連線埠。(用於 PostgreSQL Proxy 連線的連線埠,我們建議僅允許信任的 IP 進行訪問)。 |
部署疑難排解
以下將描述您可能遇到的特定故障點,以及如何解決這些問題。
錯誤訊息描述 |
Description |
安裝程式無法在當前操作系統上進行安裝。 |
伺服器的操作系統與 Mavis 的要求不符。Mavis 目前支援安裝的操作系統,請參見:https://mavis.pentium.network/hc/articles/22951360081556 |
記憶體大小錯誤。 最低記憶體需求為:16 GB。 |
伺服器的記憶體大小不符合 Mavis 的要求。Mavis 需要至少 16 GB 的記憶體大小。注意:即使伺服器的記憶體設定為 16 GB,由於容量差異可能會不足。 |
儲存空間大小錯誤。 最低可用儲存空間需求為:40 GB。 |
伺服器的可用儲存空間大小未滿足 Mavis 的需求。Mavis 至少需要 40 GB 的可用儲存空間( / 目錄下) 。請留意:即便伺服器的儲存空間設定為 40 GB,由於一些作業系統或其他系統佔用可能導致實際可用空間不足。 |
無法連接至網際網路。 |
Mavis 無法下載套件,請確認伺服器的網路連接是否正常。 |
系統管理員錯誤。當前支援的系統管理員為 SystemD。 |
Mavis 需要使用具備 SystemD 的系統管理員,以使用 |
無法連接到該網站。 |
此訊息僅在您嘗試連接至該 URL 時在瀏覽器上顯示。
情境1:若伺服器位於雲端提供商(例如 GCP 或 AWS...)。 情境2:若伺服器的公有 IP 地址不是固定的,連接的 URL 可能會有所不同。
解決方案:請手動在設定中配置 連接 URL 為伺服器的公有 IP 地址,然後重新啟動服務。 |